连接两个 AWS 区域:为什么不使用两个虚拟专用网关?

连接两个 AWS 区域:为什么不使用两个虚拟专用网关?

我正在尝试连接两个 AWS 区域。AWS 的文档建议在两端启动一个实例来运行软件 IPSec(OpenSWAN 或 StrongSWAN),为两个实例提供弹性 IP 并将其用作隧道。这一切都很好,但现在两端都存在单点故障。

AWS 发布了一个VPC 连接指南7 月份的一份 PDF 详细说明了将两个 VPC 连接在一起的可能选项。我已将该 PDF 深度链接到第 15 页,其中解释了这些选项。

它列出的每个选项都有明显的缺点,因为在大多数情况下,所有流量都经过单个(可崩溃的)实例。到目前为止,似乎最好的选择是在一侧使用软件隧道,在另一侧使用虚拟专用网关。他们说,至少你可以在一侧获得冗余。这似乎仍然不是最理想的。

有没有办法将两个虚拟专用网关连接在一起,这样我就可以同时获得两全其美的效果 - 亚马逊管理的冗余和将所有这些保留在我的 VPC 配置中的简单性?或者 VGW 本质上只适用于客户端?

答案1

不,目前无法连接不同区域的两个虚拟专用网关。鉴于 VPC 对等连接可用于单个区域中的 VPC,我相信这是即将推出的功能。

至于“您负责为所有 VPN 端点实施 HA 解决方案(如果需要)”,我在上一个答案有多种技术可用于处理 VPN/NAT 实例故障。最近,我与一位同事进行了交谈,他不仅设置了具有自动扩展和脚本的全网状 VPN 以重新配置失败的 VPN/NAT 实例,而且还拥有其他脚本,这些脚本修改了 VPC 路由表,以便其他 AZ 立即接管路由,直到失败的 VPN/NAT 实例完成重生。一旦 VPC/NAT 实例启动并重新连接 ENI,他们还会使路由恢复失败。github 上有许多“NAT 监控”脚本可以执行类似操作。还有一个AWS 文章描述该过程。

不错的高可用性?是的。配置简单吗?不幸的是,不是。

相关内容